内部統制とは？

内部統制とは、企業活動を健全に行うために従業員が遂行するべきルールのことです。

会社法や金融商品取引法によって、一部の会社に実施が義務付けられています。

本章では、内部統制について次の3つを用いて解説いたします。

・内部統制とコーポレートガバナンスの違い
・内部統制と内部監査の違い
・内部統制システム開始のきっかけは2006年の金融商品取引法制定

それぞれ、詳しく見ていきましょう。

（１）内部統制とコーポレートガバナンスの違い

内部統制とコーポレートガバナンスの違いは目的にあります。

内部統制は、企業の健全な経営が目的で、そのルールや仕組みは社内規定に落とし込まれ、会社の全ての人が取り組みます。

経営者は、全ての企業活動においての責任があるため、内部統制を整備・運用することで全従業員の不正を防ぎます。

一方、コーポレートガバナンスは「企業統治」と訳され、企業の不祥事を防いでステークスホルダーの利益を保護することが目的で、会社の経営を監視する仕組みのことです。

取締役と執行役を分離する、社外取締役を設置するなど、企業の経営を透明化して経営者の不正を防ぐものがコーポレートガバナンスです。

このように、内部統制とコーポレートガバナンスでは目的が違い、統制する対象が違います。

しかし、内部統制で企業の経営を透明化することでコーポレートガバナンスを保てるというように、2つは関わり合っています。

両方とも、企業の健全な経営において不可欠な仕組みです。

（２）内部統制と内部監査の違い

内部監査は、内部統制の一部です。

内部統制は、企業の従業員全員が守るべきルールや仕組みです。

日々、「売上金をチェックする」「ダブルチェックする」など通常の業務内で行われます。

これに対し、内部監査は内部統制が正しく運用できているかをモニタリングでチェックするものです。

企業内の独立した部署で、第三者の立場から行われます。

つまり、内部監査は内部統制のチェックをする役割なので、内部統制の一部なのです。

（３）内部統制システム開始のきっかけは2006年の金融商品取引法制定

内部統制システムは、2006年に金融商品取引法が制定され、その中に内部統制報告制度（J-SOX制度）が定められたのがきっかけです。

J-SOX制度とは、上場会社に、有価証券取引書と共に「内部統制報告書」を内閣総理大臣に提出することを義務付けた制度です。

「内部監査報告書」は、公認会計士や監査法人に監査を受けたものである必要があります。

米国では、2000年代に大規模な不正会計問題が起き、2002年にSOX法（企業改革法）が制定されました。

それを元に、日本でもSOX法をベースに制定されたものがJ-SOX制度で、2008年から適用されているのです。

会社の経営者は、内部統制が会社全体でうまく実施されているかをモニタリングで確認し、内部統制報告書を準備し提出する必要があります。

内部統制の4つの目的

内部統制の4つの目的は、それぞれが関わり合っています。

1つの目的のために決めた内部統制のルールでも、他の目的に影響したり、お互いに補いあったりしています。

ここでは、内部統制の4つの目的について説明します。

・業務の有効性及び効率性
・財務報告の信頼性
・事業活動に関わる法令等の遵守
・資産の保全

それぞれ詳細を説明します。

（１）業務の有効性及び効率性

事業の目的を達成するため、有効な業務を行い、リソースを有効活用することが内部統制の1つ目の目的です。

組織が健全に機能するためには、有効な業務やリソースの活用が重要だからです。

事業全体の業務内容を対象とするケースもあれば、各業務ごとに設定する場合もあります。

組織が設定した目標の達成支援をする、それが「業務の有効性及び効率性」です。

（２）財務報告の信頼性

有価証券取引書の財務諸表や、財務諸表に関わる重要な出来事について、外部から信頼されるような財務報告をすることが目的の2つ目です。

なぜなら、虚偽の報告をした場合、利害関係者に影響を及ぼし、会社の信頼が低下するからです。

反対に、正しく内部統制の整備・運用を行い、評価した内容を内部統制報告書として提出している場合は、投資家や利害関係者からの信頼を得ることができるでしょう。

（３）事業活動に関わる法令等の遵守

企業の経営活動に関して、法令を遵守することが目的の3つ目です。

ここでの法令等とは、法令や規範、社内外の行動規範とされています。

当たり前のことですが、法令をないがしろにして利益だけを追求し、罰則を受けては社会的信用が大きく低下するほか、企業の存続も危うくなりかねません。

そのような事態にならないよう、内部統制を整備して法令等を遵守する体制を作り、コンプライアンスを徹底しましょう。

（４）資産の保全

資産の保有や処分が正しい手続きや承認のもとに行われるよう管理することが、目的の4つ目です。

資産が不正に取得や使用・処分されることは、社会的信用を損なうからです。

資産には、知的財産や顧客の情報などの無形資産も含まれます。

資産は会社を経営する原動力となるため、不正に活用されないよう社内体制を整備する必要しなければいけません。

内部統制の6つの基本的要素

内部統制の目的の達成のためには、以下で説明する基本的要素が整備され運用されることが必要です。

基本的要素は6つあります。

・統制環境
・リスクの評価と対応
・統制活動
・情報と伝達
・モニタリング
・IT（情報技術）への対応

それぞれ、詳しく説明します。

（１）統制環境：基本的要素の基盤

統制環境とは、会社の社風を決め、他の5つの要素の基盤となるもののことです。

会社の社風は会社の責任者の考え方や方針になるものが多く、従業員の意識や行動を規定するため、従業員の内部統制に対する考え方に影響します。

そのため、経営者自らが内部統制への取り組みへの熱意を表して行動することが重要です。

例えば、従業員に考えられる不祥事を説明して教育する場を設ける、社内におけるコンプライアンスの取り組みを表彰するなどが施策として考えられます。

統合環境とは、このように従業員の内部統制への考え方や意識をつけるための環境作りのことを言います。

特に、経営方針や経営戦略・組織構造や独特な慣習・人的資源に関する方針などが影響を与える要素となるでしょう。

（２）リスクの評価と対応：目標を阻害する要因の発見と改善

組織の企業目標を達成するための障害となるものをリスクとして分析・評価し、回避や低減などの対応を取ることです。

具体的なリスクの例としては、「地震で工場が倒壊した」「取引先が倒産してしまった」「主力サービスに競合が現れ売り上げが低下した」などが考えられます。

これらのリスクで重要性があるものに対して、対応を行います。

（３）統制活動：経営者の指示が適切に実行される手続き

統制活動とは、経営者の決めたことが正確に従業員に落とし込まれ、実行される手続きのことです。

具体的には、統制内容をルール化して従業員が業務で運用できるようにするなど、内部統制を実際の業務で実行できるようにします。

また、担当者の職務や権限を明確にして分担させることも統制活動の一部です。

取引の締結・サービスの実施・資産の管理を別の人が担当するなど、職務の範囲を明確にして業務を分担させます。

このように職務を分担させることで、問題が起きた時の発生箇所を特定できるので、不正を起こしにくい環境が作れるのです。

（４）情報と伝達：情報が正しく伝えられるための制度

情報と伝達とは、組織の中の正しく公正な情報を選び、その情報を組織内の従業員やステークスホルダーに正しく伝えられるための制度のことです。

例えば、企業内で不正があった場合はその情報を正確に経営者に伝えなくてはいけません。

社内の関係者に情報が伝わるのはもちろん、社外の株主や関係者にも正しく情報を伝える必要があります。

具体例としては内部通報制度の設置など有効です。

情報と伝達は他の5つの基本的要素と密接に関わっています。

企業の経営方針が変わった場合には、その情報が正確に社内に伝えられ、リスクを評価し、統制活動が変更されなければいけません。

情報と伝達の体制を作ることは、内部統制を健全に運用させる上で重要なのです。

（５）モニタリング：内部統制が有効に機能していることを評価

モニタリングは、内部統制が社内において実施されているかを評価することで、以下の2つがあります。

①日常的評価

通常業務に内部統制が正常に実施されているかどうかを確認する手続きを組み込みます。

通常の業務で行うチェックなどが該当し、「売上伝票の金額を確認する」「部下の仕事をダブルチェックする」などが一例です。

ここで問題を発見した場合は作業のプロセスの改善をはかります。

日常的評価は業務の一部に組み込まれて日々行われているため、フィードバックが早くすぐに改善できることが特徴です。

②独立的評価

日常的なモニタリングでは見つけることができない経営上の問題を見つけるために行われます。

経営者や取締役会・監査役などによる独立評価があり、代表的なものでは「抜き打ち監査」があります。

（６）IT（情報技術）への対応

IT（情報技術）への対応は、組織の目標を達成するために適切に業務にITを取り入れることです。

①IT環境への対応

IT環境とは、企業を取り巻く内外のITの利用状況のことで、それを踏まえてITの対応や統制の対応を取る必要があります。

IT環境とは社会におけるITの浸透度や、企業のIT利用状況、企業のITへの依存度など社内外のIT利用状況に目を向けることが重要です。

②ITの利用

ITを利用することにより、より効果ある効率的な内部統制システムが実現可能です。

例えば、統制活動を自動化してルール化された業務をシステムに組み込む、期間内に作業完了の連絡がされていない場合にITツールを用いて上司に伝達する、などがあります。

③ITの統制

経営者は、ITの統制目標を設定し、ITの統制の構築をする必要があります。

業務プロセスに組み込まれたITに対する統制の「業務処理統制」と、複数の業務処理統制を、有効に機能させるための「全般統制」があります。

内部統制の3点セット

内部統制を把握・評価するための、3点セットと呼ばれるものがあります。

3点セットは、「フローチャート」「業務記述書」「リスクコントロールマトリックス」です。

（１）フローチャート

参考：金融庁「財務報告に係る内部統制の評価及び監査の基準並び に財務報告に係る内部統制の評価及び監査に関する 実施基準の改訂について（意見書）」

フローチャートは、業務の流れを可視化したものです。

財務報告に関わるプロセスや、取引の流れを可視化します。

可視化することで、プロセスにおけるリスクがどこにあるかを判断し、リスクが内部統制によって軽減できているかを評価します。

（２）業務記述書

参考：金融庁「財務報告に係る内部統制の評価及び監査の基準並び に財務報告に係る内部統制の評価及び監査に関する 実施基準の改訂について（意見書）」

業務記述書は、業務プロセスにおける業務の内容を文章で表したものです。

業務プロセスと、各業務プロセスにおける業務手順を記録します。

フローチャートと同じく、内部統制の整備の状況を記録することで有効性の評価ができるようにします。

（３）リスクコントロールマトリックス

参考：金融庁「財務報告に係る内部統制の評価及び監査の基準並び に財務報告に係る内部統制の評価及び監査に関する 実施基準の改訂について（意見書）」

リスクコントロールマネジメントとは、業務上考えられるリスクと、それに対応する内部統制の施策を記載したものです。

「業務」「リスクの内容」「統制の内容」「要件」「評価」「評価内容」の項目からなります。

業務プロセス上で、財務報告での虚偽の記載が発生するリスクと、それを軽減するための施策を記載します。

これによりどのようにリスクが軽減されているのかを評価できるようになるのです。

社内の人間、それぞれの内部統制への関わり方

ここでは、社内のそれぞれの人間の内部統制への関わり方を説明します。

以下の3つの立場に分けられます。

・経営者・取締役会
・監査役・監査役会
・従業員

それぞれ詳しく説明します。

（１）経営者・取締役会

経営者・取締役会は、内部統制を定め、社員全員に伝える役割があります。

取締役会が内部統制の整備や運用についての方針を定め、その方針に基づいて実際に社内規定などを決定し運用をするのが経営者です。

他にも、経営者は財務報告の時に内部統制報告書を提出し、運用状況を報告する役割もあります。

（２）監査役・監査役会

監査役・監査役会は、独立した立場から会社の内部統制が有効にできているかを確認します。

監査役は会計監査を含んだ業務監査を行う役割があるため、財務報告の内容の確認以外にも内部統制の運用状況も確認します。

具体的な監査の内容としては、「内部統制決議の監査」や「内部統制システムの構築・運用状況の監査」などです。

監査役は取締役の職務の遂行を確認する役割もあるため、経営者レベルで会社の内部統制が有効かどうか監査します。

（３）従業員

正社員・アルバイト・パートなど全ての従業員は、内部統制について理解して実践する役割があります。

従業員は、社内規定や業務におけるルールを守ることで内部統制を実践する役目があり、従業員のルールの運用状況は定期的にモニタリングで報告されます。

内部統制は組織全体で整備され、運用される仕組みのため、従業員も重要な一役をになっていると言えるでしょう。

まとめ

内部統制について、目的や基本的要素、3点セットとそれぞれの役割の人の関わり方を説明しました。

内部統制とは、6つの基本的要素を利用して不正を防ぐ社内体制のことです。

内部統制の整備・運用を通して、全社の従業員が不正を起こすリスクを軽減し会社の透明性を担保できるため、利害関係者からの信頼が向上します。

内部統制を強化し、健全な経営を行いましょう。